Eu tenho um webapp sendo executado em domínio público usando um certificado SSL fornecido pelo link
Funciona como um encanto.
O problema é que às vezes eu preciso instalar este webapp diretamente em servidores de clientes em redes de intranet (não em meu domínio) e ele precisa de outros certificados para um nome de host específico na intranet dos clientes.
Desde então, eu não quero compartilhar minha chave privada de domínio real nem adicionar exceção de segurança para cada navegador cliente conectado, como resolver este problema?
Na etapa 2 do link , posso adicionar outros domínios a serem protegidos. Acho que isso resolveria o problema, mas não tenho certeza se, criando um novo certificado invalidará o meu anterior.
Alguém pode me dar alguma dica sobre como descobrir esse problema?
Atualização: na verdade, encontrei uma maneira:
1) Crie um subdomínio no meu domínio da internet;
2) Gere um certificado de criptografia para este subdomínio (internet.domain.pem e internet.domain.key);
3) Defina o webapp (apache) com este internet.domain.pem e internet.domain.key;
4) Defina o DNS da intranet do internet.domain para o servidor de webapp da intranet;
Os certificados são válidos nos testes de contêineres do docker, funcionando como esperado. Mas, não tenho certeza se não há nada de errado em usar um intranet.domain.com para gerar um certificado válido para usar na intranet apenas alterando a intranet do DNS.
Alguém pode me ajudar a ver se estou gerando algum problema crítico de segurança (e o que é)?
Eu encontrei um jeito:
1) Crie um subdomínio no meu domínio da internet;
2) Gere um certificado de criptografia para este subdomínio ( intranet.domain.com.pem e intranet.domain.com.key );
3) Defina o webapp (apache) com este intranet.domain.com.pem e intranet.domain.com.key ;
4) Defina o dns da intranet de intranet.domain.com para o servidor webapp da intranet;
Então, agora tenho um certificado válido e assinado válido em minha intranet.
Vamos Criptografar (em que se baseia o gethttpsforfree.com) precisa validar que você 'possui' o domínio para o qual está tentando gerar um certificado, seja configurando uma entrada de DNS público para o domínio ou criando um arquivo específico acessível via HTTP nesse domínio (consulte link ).
No entanto, como se trata de um domínio de intranet, é, por sua própria natureza, não acessível publicamente. Isso significa que o Let's Encrypt não pode usar nenhum desses métodos para validar o domínio, portanto, você não pode gerar um certificado dessa maneira. Mesmo ao adicionar domínios extras na etapa 2, eles precisam ser verificados da mesma maneira.
A única opção que conheço é criar sua própria Autoridade de Certificação, fazer com que os navegadores clientes confiem nessa CA e gerar seus próprios certificados para os domínios em questão, mas acho que você afirmou na pergunta que queria evitar isso.
Tags security ssl https certificate intranet